Yii框架防止sql注入，xss攻击与csrf攻击的方法

框架(架构)  /  管理员 发布于 7年前   187

本文实例讲述了Yii框架防止sql注入，xss攻击与csrf攻击的方法。分享给大家供大家参考，具体如下：

PHP中常用到的方法有：

/* 防sql注入,xss攻击 (1)*/function actionClean($str){    $str=trim($str);    $str=strip_tags($str);    $str=stripslashes($str);    $str=addslashes($str);    $str=rawurldecode($str);    $str=quotemeta($str);    $str=htmlspecialchars($str);    //去除特殊字符    $str=preg_replace("/\/|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\{|\}|\:|\<|\>|\?|\[|\]|\,|\.|\/|\;|\'|\`|\-|\=|\\\|\|/", "" , $str);    $str=preg_replace("/\s/", "", $str);//去除空格、换行符、制表符    return $str;}//防止sql注入。xss攻击(1)public function actionFilterArr($arr){    if(is_array($arr)){      foreach($arr as $k => $v){        $arr[$k] = $this->actionFilterWords($v);      }    }else{      $arr = $this->actionFilterWords($arr);    }    return $arr;}//防止xss攻击public function actionFilterWords($str){    $farr = array(      "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",      "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",      "/select|insert|update|delete|drop|\'|\/\*|\*|\+|\-|\"|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"    );    $str = preg_replace($farr,'',$str);    return $str;}//防止sql注入,xss攻击(2)public function post_check($post) {   if(!get_magic_quotes_gpc()) {     foreach($post as $key=>$val){       $post[$key] = addslashes($val);     }    }   foreach($post as $key=>$val){    //把"_"过滤掉    $post[$key] = str_replace("_", "\_", $val);    //把"%"过滤掉    $post[$key] = str_replace("%", "\%", $val); //sql注入    $post[$key] = nl2br($val);    //转换html    $post[$key] = htmlspecialchars($val); //xss攻击   }   return $post;}

调用：

//防止sql$post=$this->post_check($_POST);//var_dump($post);die;$u_name=trim($post['u_name']);$pwd=trim($post['pwd']);if(empty($u_name)||empty($pwd)){  exit('字段不能非空');}$u_name=$this->actionFilterArr($u_name);$pwd=$this->actionFilterArr($pwd);//防止sql注入，xss攻击$u_name=$this->actionClean(Yii::$app->request->post('u_name'));$pwd=$this->actionClean(Yii::$app->request->post('pwd'));$email=$this->actionClean(Yii::$app->request->post('email'));//防止csrf攻击$session=Yii::$app->session;$csrf_token=md5(uniqid(rand(),TRUE));$session->set('token',$csrf_token);$session->set('token',time());//接收数据if($_POST){  if(empty($session->get('token')) && $session->get('token')!=Yii::$app->request->post('token') && (time()-$session->get('token_time'))>30){    exit('csrf攻击');  }  //防止sql  .....

(必须放在接收数据之外)

注意：

表单提交值，为防止csrf攻击，控制器中需要加上：

//关闭csrfpiblic $enableCsrfValidation = false;

更多关于Yii相关内容感兴趣的读者可查看本站专题：《Yii框架入门及常用技巧总结》、《php优秀开发框架总结》、《smarty模板入门基础教程》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》

希望本文所述对大家基于Yii框架的PHP程序设计有所帮助。

您可能感兴趣的文章:

• PHP实现登陆表单提交CSRF及验证码
• 切记ajax中要带上AntiForgeryToken防止CSRF攻击
• 启用Csrf后POST数据时出现的400错误
• PHP开发中常见的安全问题详解和解决方法（如Sql注入、CSRF、Xss、CC等）
• PHP开发中csrf攻击的简单演示和防范